中国高校课件下载中心 》 教学资源 》 大学文库

中国科学技术大学:《现代密码学理论与实践》课程教学资源(PPT课件讲稿)第20章 防火墙

点击下载完整版文档(PPT)
文档信息
资源类别:文库
文档格式:PPT
文档页数:62
文件大小:4.96MB
团购合买:点击进入团购
内容简介
⚫ 防火墙构成了每个方向传输数据所必须经过的关卡。防火墙的安全策略规定了在每个数据传输方向上的授权。 ⚫ 防火墙可以被设计成IP级的包过滤器,也可以被应用在更高级别的协议层。 ⚫ 一个可信系统是在给定的安全策略下,其运行可以被验证的计算机和操作系统。通常,可信系统的焦点是访问控制,而其采用的策略规定了主体对客体的访问权限。 ⚫ 消息技术安全通用标准是一个国际化的标准。它定义了一套安全需求和测评,并以此需求为根据的产品的系统化方法。
刷新页面文档预览

本章要点 15 防火墙构成了每个方向传输数据所必须经过的关卡。防 火墙的安全策略规定了在每个数据传输方向上的授权。 防火墙可以被设计成P级的包过滤器,也可以被应用在 更高级别的协议层。 一个可信系统是在给定的安全策略下,其运行可以被验 证的计算机和操作系统。通常,可信系统的焦点是访问 控制,而其采用的策略规定了主体对客体的访问权限。 。消息技术安全通用标准是一个国际化的标准。它定义了 一套安全需求和测评,并以此需求为根据的产品的系统 化方法。 2022/10/9 现代密码学理论与实践-20 2/63

2022/10/9 现代密码学理论与实践-20 2/63 本章要点 ⚫ 防火墙构成了每个方向传输数据所必须经过的关卡。防 火墙的安全策略规定了在每个数据传输方向上的授权。 ⚫ 防火墙可以被设计成IP级的包过滤器,也可以被应用在 更高级别的协议层。 ⚫ 一个可信系统是在给定的安全策略下,其运行可以被验 证的计算机和操作系统。通常,可信系统的焦点是访问 控制,而其采用的策略规定了主体对客体的访问权限。 ⚫ 消息技术安全通用标准是一个国际化的标准。它定义了 一套安全需求和测评,并以此需求为根据的产品的系统 化方法

防火墙的定义 物国海车K术 15 在互联网上,防火墙是一种有效的网络安全系统,可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域 网)的连接,同时不会妨碍安全区域对风险区域的访问。 安全区域 安全区域 服务器 工作站 台式PC 打印机 服务器 二作站 台式PC 打中机 服务器 服务器 防水墙 Internet网络 2022/10/9 3/63

2022/10/9 现代密码学理论与实践-20 3/63 防火墙的定义 ⚫ 在互联网上,防火墙是一种有效的网络安全系统,可以隔 离风险区域(Internet或有一定风险的网络)与安全区域(局域 网)的连接,同时不会妨碍安全区域对风险区域的访问。 防火墙 服务器 工作站 台式PC 打印机 服务器 安全区域 服务器 工作站 台式PC 打印机 服务器 安全区域 Internet网络

15 20.1防火墙的设计原理 。防火墙的基本设计目标 对于一个网络来说,所有通过“内部”和“外部”的 网络流量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可 以通过防火墙 。防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向 能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为 2022/10/9 现代密码学理论与实践-20 4/63

2022/10/9 现代密码学理论与实践-20 4/63 20.1 防火墙的设计原理 ⚫ 防火墙的基本设计目标 ⚫ 对于一个网络来说,所有通过“内部”和“外部”的 网络流量都要经过防火墙 ⚫ 通过一些安全策略,来保证只有经过授权的流量才可 以通过防火墙 ⚫ 防火墙本身必须建立在安全操作系统的基础上 ⚫ 防火墙的控制能力 ⚫ 服务控制,确定哪些服务可以被访问 ⚫ 方向控制,对于特定的服务,可以确定允许哪个方向 能够通过防火墙 ⚫ 用户控制,根据用户来控制对服务的访问 ⚫ 行为控制,控制一个特定的服务的行为

防火墙的功能 。防火墙定义一个必经之点,包含以下三种基本功能 可以限制未授权的用户进入内部网络,过滤不安全的 服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络,任 何关键性的服务器,都应该放在防火墙之后 ● 防火墙提供了一个监视各种安全事件的位置,可以在 防火墙上实现审计和报警 防火墙可以是地址转换,Internet日志、审计,甚至 计费功能的理想平台 ,防火墙可以作为IPSec的实现平 2022/10/9 现代密码学理论与实践-20 5/63

2022/10/9 现代密码学理论与实践-20 5/63 防火墙的功能 ⚫ 防火墙定义一个必经之点,包含以下三种基本功能 ⚫ 可以限制未授权的用户进入内部网络,过滤不安全的 服务和非法用户 ⚫ 防止入侵者接近网络防御设施 ⚫ 限制内部用户访问特殊站点 ⚫ 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络, 任 何关键性的服务器,都应该放在防火墙之后 ⚫ 防火墙提供了一个监视各种安全事件的位置,可以在 防火墙上实现审计和报警 ⚫ 防火墙可以是地址转换,Internet日志、审计,甚至 计费功能的理想平台 ⚫ 防火墙可以作为IPSec的实现平台

15 防火墙的局限性 防火墙不能防范网络内部的攻击,比如防火墙无法禁 止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙不能防范伪装成超级用户或诈称新雇员的黑客 们劝说没有防范心理的用户公开其口令,并授予其临 时的网络访问权限。 ● 防火墙不能防止传送己感染病毒的软件或文件,不能 期望防火墙对每一个文件进行扫描,查出潜在的病毒 防火墙不能阻止绕过防火墙的攻击,例如,在防火墙 内部通过拨号出去 2022/10/9 现代密码学理论与实践-20 6/63

2022/10/9 现代密码学理论与实践-20 6/63 防火墙的局限性 ⚫ 防火墙不能防范网络内部的攻击, 比如防火墙无法禁 止变节者或内部间谍将敏感数据拷贝到软盘上。 ⚫ 防火墙不能防范伪装成超级用户或诈称新雇员的黑客 们劝说没有防范心理的用户公开其口令,并授予其临 时的网络访问权限。 ⚫ 防火墙不能防止传送己感染病毒的软件或文件, 不能 期望防火墙对每一个文件进行扫描, 查出潜在的病毒 ⚫ 防火墙不能阻止绕过防火墙的攻击,例如,在防火墙 内部通过拨号出去

防火墙的分类 包过滤器(Packet Filtering):作用在网络层和传输层,根 据包头源地址、目的地址和端口号、协议类型等标志确 定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数 据流中丢弃。 应用层代理(Application Proxy,.应用层网关,Application Gateway):它作用在应用层,其特点是完全“阻隔”网 络通信流,通过对每种应用服务编制专门的代理程序 实现监视和控制应用层通信流的作用。实际中的应用层 网关通常由专用工作站实现。 电路级网关(Circuit Level Gateway):直接对分组里的数 据进行处理,并且结合前后分组的数据进行综合判断, 然后决定是否允许该数据包通过 2022/10/9 现代密码学理论与实践-20 7163

2022/10/9 现代密码学理论与实践-20 7/63 防火墙的分类 ⚫ 包过滤器(Packet Filtering):作用在网络层和传输层,根 据包头源地址、目的地址和端口号、协议类型等标志确 定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数 据流中丢弃。 ⚫ 应用层代理(Application Proxy, 应用层网关, Application Gateway):它作用在应用层,其特点是完全“阻隔”网 络通信流,通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。实际中的应用层 网关通常由专用工作站实现。 ⚫ 电路级网关(Circuit Level Gateway):直接对分组里的数 据进行处理,并且结合前后分组的数据进行综合判断, 然后决定是否允许该数据包通过

车系 15 包过滤路由器 基本思想简单 ·对于每个进来的包,适用一组规则,然后决定转发或者丢弃 该包 ·往往配置成双向的 如何过滤 。过滤的规则以P和传输层的头中的域(字段)为基础,包括源 和目标P地址、P协议域、源和目标端口号 ● 过滤器往往建立一组规则,根据P包是否匹配规则中指定的 条件来作出决定 。 。如果匹配到一条规则,则根据此规则决定转发或者丢弃 ·如果所有规则都不匹配,则根据缺省策略 2022/10/9 现代密码学理论与实践-20 8/63

2022/10/9 现代密码学理论与实践-20 8/63 包过滤路由器 ⚫ 基本思想简单 ⚫ 对于每个进来的包,适用一组规则,然后决定转发或者丢弃 该包 ⚫ 往往配置成双向的 ⚫ 如何过滤 ⚫ 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源 和目标IP地址、IP协议域、源和目标端口号 ⚫ 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的 条件来作出决定。 ⚫ 如果匹配到一条规则,则根据此规则决定转发或者丢弃 ⚫ 如果所有规则都不匹配,则根据缺省策略

安全缺省策略 作长大 105 ●两种基本策略, 或缺省策略 ·没有被拒绝的流量都可以通过 管理员必须针对每一种新出现 的攻击,制定新的规则 ·没有被允许的流量都要拒绝 。比较保守 07 根据需要,逐渐开放 2022/10/9 现代密码学理论与实践-20 9/63

2022/10/9 现代密码学理论与实践-20 9/63 安全缺省策略 ⚫ 两种基本策略,或缺省策略 ⚫ 没有被拒绝的流量都可以通过 ⚫ 管理员必须针对每一种新出现 的攻击,制定新的规则 ⚫ 没有被允许的流量都要拒绝 ⚫ 比较保守 ⚫ 根据需要,逐渐开放

少因海海家水 1950 包过滤路由器示意图 Security Perimeter Private Internet Network Packet- 1 filtering- router 网络层 链路层 物理层 外部网络 内部网 °络 2022/10/9 现代密码学理论与实践-20 10/63

2022/10/9 现代密码学理论与实践-20 10/63 包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网 络

冷不 1950 包过滤防火墙 ·在网络层上进行监测,没有考虑连接状态信息 ● 通常在路由器上实现,实际上是一种网络的访问控 制机制 ·优点 实现简单 对用户透明 。效率高 ·缺点 正确制定规则并不容易 。不可能引入认证机制 ¥例:ipchains and iptables 2022/10/9 现代密码学理论与实践-20 11/63

2022/10/9 现代密码学理论与实践-20 11/63 包过滤防火墙 ⚫ 在网络层上进行监测,没有考虑连接状态信息 ⚫ 通常在路由器上实现,实际上是一种网络的访问控 制机制 ⚫ 优点 ⚫ 实现简单 ⚫ 对用户透明 ⚫ 效率高 ⚫ 缺点 ⚫ 正确制定规则并不容易 ⚫ 不可能引入认证机制 ⚫ 举例: ipchains and iptables

共62页,可试读20页,点击继续阅读 ↓
刷新页面下载完整文档
VIP每日下载上限内不扣除下载券和下载次数;
按次数下载不扣除下载券;
注册用户24小时内重复下载只扣除一次;
顺序:VIP每日次数-->可用次数-->下载券;
点击下载完整版文档(PPT)
相关文档
Copyright © 2008-现在 cucdc.com
高等教育资讯网 版权所有